ITanalyze

سمیه مهدوی پیام - پس از تحلیل ماه مارس درباره حمله سایبری گروه «لب‌دوختگان» به نفتکش‌های ایرانی، شرکت «سایدوم» (Cydome) در ماه اوت، گزارش «یافته‌های موج دوم» خود را منتشر کرد. در این گزارش تکمیلی، جزییات ناگفته پیشین آشکار شده است.

شرکت سایدوم، شرکت تخصصی در زمینه امنیت سایبری دریایی است که با هدف حفاظت از کشتی‌ها، ناوگان، بنادر و…، راهکارهای جامع به متقاضیان ارائه می‌کند.

در این رابطه سایت industrialcyber پلتفرم خبری-تحلیلی تخصصی در زمینه امنیت سایبری صنعتی در گزارشی مدعی شد، این حمله، ارتباطات ۱۱۶ کشتی را مختل کرد، شکنندگی شبکه‌های ماهواره‌ای دریایی را آشکار ساخت و همچنین سرویس «iDirect Falcon» را به‌عنوان نقطه ضعف حیاتی در ترمینال‌های VSAT مشخص کرد. آنچه در ابتدا به‌عنوان بهره‌برداری در سطح مودم به نظر می‌رسید، اکنون تأیید شده یک نفوذ در سطح ارائه‌دهنده خدمات و مختل شدن امنیت زیرساخت فن‌آوا بوده است.

• نفوذ به زیرساخت فن‌آوا

این یافته‌ها، درک از این کارزار را تغییر داد. به‌جای بهره‌برداری مجزای ترمینال‌های کشتی، مهاجمان به زیرساخت مرکزی شرکت فن‌آوا نفوذ کردند و ارائه‌دهنده خدمات ماهواره‌ای را به نقطه‌ای واحد برای شکست سیستماتیک تبدیل کردند. این حمله زنجیره تأمین، به مهاجمان اجازه داد ارتباطات را مختل کنند، داده‌های حساس را افشا نمایند و بر عملیات ناوگان در مقیاس وسیع نظارت کنند؛ حمله‌ای که تهدید را از سطح اختلال در کشتی، به هجوم راهبردی علیه ستون فقرات لجستیک دریایی ایران ارتقا داد.

اسکرین‌شات‌های منتشرشده توسط مهاجمان، پیشتر استفاده مخرب از فرمان dd برای پاکسازی پارتیشن‌های ذخیره‌سازی و از کار انداختن فرایندهای فالکون (Falcon) را نشان می‌داد؛ اقدامی که تجهیزات مستقر روی کشتی‌ها را از کار می‌انداخت.

اور بالوگ، پژوهشگر امنیت سایبری شرکت سایدوم، در یک پست وبلاگی نوشت: «بااین‌حال، در آن زمان، نقطه ورود دقیق، همچنان نامشخص بود.»

بالوگ مدعی شد موج دوم در اوت ۲۰۲۵، پاسخ‌های مبهم را روشن کرد: «اکنون مشخص شده آنچه در ابتدا، بهره‌برداری در سطح مودم به نظر می‌رسید، نتیجه اختلال امنیتی سطح ارائه‌دهنده و نفوذ در زیرساخت فن‌آوا بوده است.»

از همان ابتدا، مهاجمان به‌طور جداگانه، کشتی‌ها را هدف قرار نداده بودند. آنها به هاب مرکزی که خدمات ماهواره‌ای از طریق آن، به ناوگان شرکت ملی نفتکش ایران و کشتیرانی جمهوری اسلامی ایران ارائه می‌شد، نفوذ کردند. این امر به آنها امکان داد اقدامات مخرب را به‌طور همزمان در ده‌ها کشتی اجرا کنند.

بالوگ اشاره کرد که مهاجمان به مرکز داده فن‌آوا دسترسی پیدا کردند و این موضوع، تأیید می‌کند حادثه، یک اختلال زنجیره تأمین بوده نه بهره‌برداری محدود از ترمینال. تکنیک‌های مخربی که نخستین بار در اسکرین‌شات‌های ماه مارس مشاهده شد، مانند پاکسازی پارتیشن‌ها و غیرفعال‌سازی فالکون، این بار به شکل نظام‌مند در کل ناوگان به‌کار گرفته شد و تعویض فیزیکی سخت‌افزارهای روی کشتی‌ها را ضروری کرد.

• آسیب‌پذیری فناوری سازمانی

نفوذ همچنین به بخش فناوری سازمانی تسری یافت و اسناد داخلی، نمودارهای شبکه و چک‌لیست‌های عملیاتی افشا شد. نقشه‌هایی که موقعیت لحظه‌ای کشتی‌ها در اطراف بندرعباس را نشان می‌داد، دسترسی به داده‌های ردیابی AIS را تأیید کرد و حادثه را از اختلال ارتباطی به دسترسی کامل عملیاتی ارتقا داد. ارتباطات صوتی نیز  دچار اختلال شد، زیرا کنترل بر خدمات VOIP کشتی به ساحل، به مهاجمان اجازه داد ترافیک صوتی را شنود یا مسدود کرده و در نتیجه، فرماندهی و هماهنگی در دریا را تضعیف کنند.

بالوگ مدعیست که در مجموع، هر دو موج این کارزار، اکنون تصویری منسجم را شکل می‌دهند: «موج اول ابزارهای مخرب و نقش حیاتی فالکون را آشکار کرد. موج دوم نیز نشان داد این تأثیرات چگونه از طریق اختلال مستقیم هاب شرکت فن‌آوا محقق شد و اینکه این تکنیک‌ها، به‌طور گسترده و عمدی به کار رفته‌اند.»

او خاطرنشان کرد که این عملیات، جاسوسی نبوده است: «این، خرابکاری بود. پاک‌سازی نظام‌مند دستگاه‌ها، توقف فرایندهای فالکون و افشای اسناد داخلی، نشان‌دهنده عملیاتی است که با هدف از کار انداختن، اختلال و بی‌ثبات کردن ارتباطات دریایی در مقیاس وسیع، طراحی شده بود.»

• پیامدهای سیستمی

درس این ماجرا برای حوزه دریایی، ماهیت ساختاری و فراگیر دارد. زیرساخت‌های ماهواره‌ای متمرکز و نقاط شکست واحد مانند فالکون، آسیب‌پذیری‌هایی در سطح ملی ایجاد می‌کنند. وقتی یک ارائه‌دهنده مختل شود، پیامدهای آن بر کل ناوگان و اپراتورها سرریز می‌شود.

بالوگ نتیجه گرفت که موج دوم کارزار لب‌دوختگان، بیانگر تشدید تاکتیک‌ها نیست، بلکه نشان‌دهنده آن چیزی است که واقعاً در ماه مارس رخ داده بود: «از همان ابتدا، این، یک حمله زنجیره تأمین در سطح ارائه‌دهنده، علیه هاب فن‌آوا بود.» (منبع:عصرارتباط)

اوایل اوت، رسانه ضد ایرانی مستقر در انگلیس گزارش داد این دو شرکت دولتی، نقش مرکزی در اقتصاد تحریمی ایران دارند. این رسانه نوشت لب‌دوختگان که با نام «Sewn Lips» نیز شناخته می‌شود، مسئولیت هک سامانه‌های NITC و IRISL را بر عهده گرفته و عملیات ۳۹ نفتکش و ۲۵ کشتی باری را مختل کرده است. هر دو شرکت، در سال ۲۰۲۰، توسط وزارت خزانه‌داری آمریکا، به دلیل کمک به نیروی قدس، تحریم شده بودند.

به گفته این گروه، نفوذ از طریق شرکت فن‌آوا، یک هلدینگ فناوری اطلاعات و مخابرات ایرانی که خدمات ارتباطات ماهواره‌ای، ذخیره‌سازی داده و پرداخت، ارائه می‌دهد، انجام شد. آنها گفتند این نفوذ، دسترسی «سطح ریشه» به سیستم‌های عامل لینوکس که ترمینال‌های ماهواره‌ای کشتی‌ها را اجرا می‌کردند، فراهم کرد و به آنها اجازه داد فالکون، نرم‌افزار کنترل مرکزی ارتباطات دریایی ایران را غیرفعال کنند.

طبق ادعای این گروه هکری، از کار انداختن فالکون، تمام ارتباطات میان کشتی‌ها و ساحل را قطع و ردیابی از طریق سیستم شناسایی خودکار (AIS) و لینک‌های ماهواره‌ای را غیرقابل استفاده کرد.

در یک پست آمده است: «این حمله سایبری در حالی رخ می‌دهد که ایران، با نظارت روزافزون بر شبکه‌های کشتیرانی و صادرات نفت خود مواجه است. دولت‌های غربی، تهران را متهم می‌کنند که از ناوگان دریایی خود برای پنهان کردن فروش نفت به چین و دیگر کشورها استفاده می‌کند و به گروه‌های نیابتی از جمله حزب‌الله و حوثی‌های یمن سلاح می‌رساند.»